20-04-2007, 12:58 PM
Les posts ne sont pas plus sécurisés que les gets.
Les deux sont "simulables" pour un utilisateur averti.
Pour aider un pote à détecter les failles, j'ai déjà simulé des "posts" sur son site web à partir de pages hébergées en local. c'est très facile.
Ce n'est pas en essayant de brider le client (le navigateur et la couche JS/Ajax qui va avec) que tu réussiras à stopper totalement toute tentative de clic à la chaine. C'est tout simplement impossible.
Le seul moyen est de gèrer les limitations sur le serveur ET de vérifier à chaque fois toutes les données entrantes.
- Vérifier que les paramètres devant contenir des entier soient bien des entiers
- Formatter/vérifier les chaines de caractères pour éviter les problèmes
- Vérifier que l'action peut bien être effectuée par le joueur à chaque fois
JA, Ajax etc c'est très bien pour faire de l'affichage et du dynamiqe, pas pour gérer les problèmes de sécurité.
Les deux sont "simulables" pour un utilisateur averti.
Pour aider un pote à détecter les failles, j'ai déjà simulé des "posts" sur son site web à partir de pages hébergées en local. c'est très facile.
Ce n'est pas en essayant de brider le client (le navigateur et la couche JS/Ajax qui va avec) que tu réussiras à stopper totalement toute tentative de clic à la chaine. C'est tout simplement impossible.
Le seul moyen est de gèrer les limitations sur le serveur ET de vérifier à chaque fois toutes les données entrantes.
- Vérifier que les paramètres devant contenir des entier soient bien des entiers
- Formatter/vérifier les chaines de caractères pour éviter les problèmes
- Vérifier que l'action peut bien être effectuée par le joueur à chaque fois
JA, Ajax etc c'est très bien pour faire de l'affichage et du dynamiqe, pas pour gérer les problèmes de sécurité.
Quand on te dit qu'un projet est terminé à 90%, prépare toi pour les 90% suivant
Ninety-Ninety Rule
"Une guerre de religions, c'est quand deux peuples s'entretuent pour savoir qui a le meilleur ami imaginaire"
Vu sur IRC
Ninety-Ninety Rule
"Une guerre de religions, c'est quand deux peuples s'entretuent pour savoir qui a le meilleur ami imaginaire"
Vu sur IRC